公司网络组建方案.doc

通睿广告传媒公司网络组建方案方案策划人：萧瑟秋风目录一、 背景分析二、 网络需求分析1) 公司需求2) 技术需求3) 服务需求4) 可行性分析5) 技术分析三、 网络方案设计1. 逻辑方案设计1） 所选设备及设备型号2） 传输介质3） 拓扑结构方案2. 物理方案设计1） 安装服务器操作系统2） 安装活动目录3） 安装DNS服务器4） 安装DHCP服务器5） 安装IIS6） 创建WEB服务器7） 创建FTP服务器8） 打印服务9） 监控措施后续工作：1）注册域名 2）站点上传与发布 3）站点推广四、 安全策略1）防火墙策略2）网络监测与检测策略3）数据加密策略五、 后期维护六、 组建总结具体组建措施 一、背景分析 贵公司是一家广告公司，专营广告业务活动。根据对贵公司各方面的考察，可定义贵公司为一家中小型企业，又根据广告公司所固有的特点，可判断贵公司对网络建设要求较高，以应对众多广告公司的竞争压力，尤其是在网络安全方面，必定要极力防止数据及广告创意的外泄，因而，本组网方案在保证其他配置均处于当前领先地位外，特别关注近期比较危险的网络，保护贵公司的数据安全。此外，对于贵公司的站点推广方面，我们又有极为独到的见解，加强贵公司的市场竞争力。二、网络需求分析1）公司需求贵公司属于中小型企业，由七个部门组成（总经理，副经理，创业部，客户服务部，媒介部，财务部，人力资源部）。为了满足企业未来的发展需求，现在企业拥有100台计算机，需要分配给各部门，企业需要构建一个全新的网络。建立一个技术先进，满足企业管理和业务的需求的企业网络系统。企业网的总体目标是实现办公的自动化，访问需要权限，可以和外进行通信连接，信息获取自动化。具体目标是企业各部门间不能进行访问，企业的一些重要资料可以受内网和外网的访问，建设财务网络管理，涉及网络管理等系统。并通过路由器与Internet连同。2）技术需求1、 建立一个为各部门和企业员工为服务对象的网络平台，为企业各部门和员工提供高效的网络信息服务。网络具有传输数据，语音，图形和图像等多媒体信息功能，具备性能优越的资源共享功能。2、 企业网各终端间具有快速交换功能，中心系统交换机采用虚拟网络技术，对网内用户具有分类控制功能。3、 对网络资源的访问提供完善的权限控制，能提供有效的身份识别，能基于企业网对各部门和员工进行管理。4、 网络具有防止和捕杀病毒的功能，以保证网络安全，与Internet连接后具有“防火墙”功能，以防止网络“黑客”侵入网络系统。5、 可对接入Internet的各网络用户进行访问权限控制。3）服务需求企业网络服务需求，根据企业自身特点都有不同的情况。以企业内部网为例，Intranet, 它以TCP/IP协议作为基础，以Web为核心应用，可以提供Web、邮件、FTP、Telnet等功能强大的服务。Intranet能够大大提高企业的内部通信能力和信息交换能力。与Interner连接后，可以实现互联网应用。4)可行性分析1、优势strength：1）我们采用的是星型局域网。星型拓扑结构是由中央节点和通过点到点链接到中央节点的各个站点组成，易于拓展，可靠性高；星型网特点：每个节点都连接到公共中心节点；任意两点间的通信均要通过中心节点；中心节点是一个中继器（或是一台交换机）；星状网络便于安装和管理，任何一个终端的故障都不会影响其它终端的正常通信。2）我们组网总共用了600万，我们采用的都是高端先进的设备，设备的配置很高，因而我们为该公司组建的网络速度快，质量高。3）我们公司会对我们公司负责组建的网络进行定期的升级和排查故障等，保证公司网络的通畅。劣势weakness1） 我们组建的小型局域网，还存在一定的网络风暴等风险。这是所有公司都无法避免的问题。2）网络组建投入的资金比较的多，可能在有些方面会造成不必要的浪费 （二）外部因素 机会opportunity，指广告专业网站存在的机会，是网站本身以外的有利因素。如国家的政策法律的支持、技术的支持、受众的需要等。 威胁threat，这是针对自网站以外的不利因素。如传统广告业影响力仍将持续、政策法律不完善、商业网站的威胁、网站运营成本增加等。5）技术分析1、采用千兆以太网技术,具有高带宽1000Mbps 速率的主干,运行目前的各种应用系统绰绰有余,还可轻松应付将来一段时间内的应用要求,且易于升级和扩展,最大限度的保护用户投资；2、网络设备选型为国际知名产品,性能稳定可靠、技术先进、产品系列全及完善的服务保证；3、采用支持网络管理的交换设备,足不出户即可管理配置整个网络。4、提供国际互联网ADSL专线接入（或ISDN）,实现与各公共网的连接；5、可扩容的远程拨号接入/拨出,共享资源、发布信息等。应用系统及教学资源丰富；6、有综合网络办公系统及各个应用管理系统,实现办公自动化,管理信息化,邮件服务等。三、网络方案设计1.逻辑方案设计1）所选设备及设备型号1、宽带路由器：思科2851路由器2、无线路由器：NETGEAR WNDR37003、服务器：IBM System x3500 M2(7839I15)4、24口千兆三层主交换机：H3C LS-3600-28P-EI5、24口千兆交换机：磊科 NSW1824C6、电脑：方正 商祺N320(BSN320-1123)7、笔记本：MSI微星 CX6008、光纤收发器：天为电信 光纤收发器(网络级) TW-LINK10/100M2）传输介质1.光缆：安普 4芯光缆2.双绞线：TCL 超五类屏蔽双绞线3）拓扑结构方案2.物理方案设计1）安装服务器操作系统（微软Windows2000 Server中文标准版）1. 在 CD-ROM 或 DVD-ROM 驱动器中插入 Windows 2000 Server CD-ROM。 2. 使用 Windows 2000 CD-ROM 或 Windows 2000 启动盘启动计算机。如果从 CD-ROM 启动，则在显示“按任意键从 CD 启动”的消息时，按键盘上的任意键。这将，就会启动 Windows 2000 Server 安装程序。备注：在安装程序启动时，如果需要安装其他大容量存储设备的驱动程序，请按 F6 键。按屏幕提示指定准备安装的驱动程序的位置。 3. 在“欢迎安装”屏幕上，按 ENTER 键。 4. 如果接受授权协议，请在“Windows 2000 授权协议”页面上按 F8 键。备注：如果不同意 Windows 2000 授权协议，则按 ESC 键。安装程序随即退出。 5. 在已有分区和未分区空间的列表中，使用箭头键选择一未分区空间选项，然后按 C 键。 6. 在“创建分区的大小 (MB)”框中，键入新建分区的大小，然后按 ENTER 键。 7. 按 ENTER 键，在选定分区上安装 Windows 2000。 8. 使用箭头键选择所需的文件系统，然后按 ENTER 键。该分区被格式化。备注：您稍后可以将文件系统为 FAT32 的分区转换为 NTFS 分区。安装程序将复制 Windows 2000 Server 安装所需的文件，然后重新启动计算机。Windows 2000 Server 安装程序在“图形用户界面”(GUI) 模式下继续安装。 9. 在“区域设置”页面上，单击下一步。 10. 在名称 框中，键入您的姓名。在单位 框中，键入您的单位，然后单击下一步。 11. 在产品密钥 框中，键入产品密钥，然后单击下一步。 12. 在“授权模式”页面上，单击所需的授权模式，然后单击下一步。 13. 在“计算机名”框中，键入希望用的计算机名。备注：计算机名在网络上必须是唯一的。使用唯一且具描述性的计算机名很有帮助。 14. 在“系统管员密码”框中，键入系统管理员密码。在“确认密码”框中键入同一密码，然后单击下一步。备注：管理员帐户应使用增强密码。 15. 在Windows 2000 组件 列表中，选中所需组件的复选框，然后单击下一步。 16. 在“日期和时间设置”页面上，设置正确的日期、时间和时区，然后单击下一步。 17. 在“网络设置”页面上，单击典型设置 （如果尚未选中该设置），然后单击下一步。 18. 单击“不，此计算机不在网络上，或者在没有域的网络上”，然后单击下一步。备注：稍后您可以从 Windows 的系统属性 对话框使用“网络标识向导”，将该计算机添加到域中。 19. 安装程序完成时，单击完成 。Windows 重新启动。 20. 以管理员身份登录到 Windows。 21. 使用“Windows 2000 配置服务器向导”配置该服务器。2）安装活动目录1. 启动Windows 2000 Server系统自动打开“Windows 2000配置服务器”窗口。2. 在左边的列表中单击Active Directory（活动目录）超级链接，并拖动右边的滚动条到底部。3. 单击“开始”超级链接，打开“ Active Directory安装向导”对话框。4. 单击“下一步”按钮，打开如图9 - 4所示的“域控制器类型”对话框，选择“新域的域控制器”单选按钮，使服务器成为新域中的第一个域控制器。如果网上已有域控制器，可选择“现有域的额外域控制器”单选按钮。5. 单击“下一步”按钮，打开 “创建目录树或子域”对话框，如果用户不想让新域成为现有域的子域，可选择“创建一个新的域目录树”单选按钮。如果用户希望新域成为现有域的子域，可选择“在现有域目录树中创建一个新的子域”单选按钮。这里，选择“创建一个新的域目录树”单选按钮。 6. 单击“下一步”按钮，打开 “创建或加入目录林”对话框，如果所创建的域为单位的第一个域，或者希望所创建的新域独立于现有目录林，可选择“创建新的域或目录树”单选按钮。如果希望新的域目录树中的用户可访问现有域目录树中的资源，或希望现有域目录树中的用户访问新域目录树中的资源，可选择“将这个新的域目录树放入现有的目录林中”单选按钮。这里，选择“创建新的域目录树”单选按钮。7. 单击“下一步”按钮，打开 “新的域名”对话框，在“新域的DNS全名”文本框中输入新建域的DNS全名。8. 单击“下一步”按钮，打开 “NetBIOS域名”对话框，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的。9. 单击“下一步”按钮，打开 “数据库和日志文件位置”对话框，在“数据库位置”文本框中输入保存数据库的位置，或者单击“浏览”按钮选择路径，在“日志位置”文本框中输入保存日志的位置或单击“浏览”按钮选择路径。注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。10. 单击“下一步”按钮，打开 “共享的系统卷”对话框，在Windows 2000中，Sys.vol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。在“文件夹位置”文本框中输入Sys.vol文件夹位置，或单击“浏览”按钮选择路径。11. 单击“下一步”按钮，如果用户没有配置名称为的DNS服务器，则系统会提示用户配置DNS服务器，单击“确定”按钮，即可打开“配置DNS”对话框。12. 如果通过向导为新域安装和配置DNS服务器,选择“是，在这台计算机上安装和配置DNS（推荐）”单选按钮。如果要在安装活动目录之后再安装和配置DNS，可选择“否，我将自己安装并配置”单选按钮。 13. 单击“下一步”按钮，打开 “Windows NT 4.0 RAS服务器”对话框，如果希望减弱Windows NT 4.0 RAS的访问权限选择“是，减弱权限”单选按钮。如果不更改访问权限，选择“否，不要更改权限”单选按钮。14. 单击“下一步”按钮，打开“摘要”对话框，通过该对话框，用户可检查并确认选定的选项。15. 单击“下一步”按钮，系统开始配置活动目录，同时打开“正在配置Active Directory”对话框，显示配置过程。16. 经过几分钟之后，配置完成。同时，打开“完成” Active Directory安装向导”对话框，单击“完成”按钮，即完成活动目录的安装，重新启动计算机，活动目录即会生效。3）安装DNS服务器1.在Server 2000上单击“开始”“设置”“控制面板”选单，打开控制面板。2.双击“添加/删除程序”，然后单击“添加/删除Windows组件”，出现“Windows组件向导”窗口。单击选中“网络服务”，然后单击“详细信息”，弹出“网络服务窗口”。3.在“网络服务的子组件”中，选中“域名服务系统(DNS)”，单击“确定”，然后单击“下一步”，根据提示进行安装。4.安装完成后重新启动系统。4）安装DHCP服务器1. 依次点击开始-设置-控制面板-添加/删除程序-添加/删除Windows组件，打开相应的对话框。2. 用鼠标点击选中对话框中组件列表框中的网络服务一项，单击详细信息按钮，弹出带有其中具体内容的对话框。3. 在对话框网络服务的子组件列表框中勾选动态主机配置协议(DHCP）一项后，单击确定按钮，根据系统提示放人Windows2000安装光盘，系统将从Windows2000安装光盘复制所需的程序。4. 复制结束后，按照系统提示要求重新启动计算机。在开始_程序_管理工具的下级菜单中将会出现DHCP一项，说明DHCP安装成功。5）安装IIS单击“开始”设置控制面板添加删除程序添加/删除windows组件选中“Internet信息服务（IIS）”详细信息，在“Internet信息服务管理器”和“文件传输协议（FTP）服务器”前的复选框打勾，单击“确定”，安装IIS。IIS的测试方法：在浏览器的地址栏依次输入http：/和http：/localhost,当出现微软的信息表示安装正确。6）创建WEB服务器1. 在IIS服务器上，单击开始程序管理工具，选“Internet服务管理器”打开Internet服务控制台。2. 右键单击服务器项目，单击新建Web站点，进入“Web站点创建向导”对话框，单击“下一步”按钮3. 在“说明”中输入有关说明，单击“下一步”按钮4. 单击“输入Web站点使用的IP地址”，选择Web站点使用的IP地址（），单击“下一步”按钮。5. 在“路径”处输入Web站点主目录所在的物理地址（D:Web），单击“下一步”按钮。6. 设置用户对主目录的访问权限，单击“下一步”按钮后单击“完成”按钮。7. 在主目录下创建文件index.htm8. 在客户端计算机上打开浏览器，地址栏输入http：/服务器IP/，出现index.htm的内容，表明Web站点创建成功。9注册公司域名（）,划出一个磁盘，在该磁盘中建立宿主目录，将用户所有资料存放在宿主目录中，同时备份。7）创建FTP服务器1.在Internet服务控制台右键单击“Server”，单击新建FTP站点，进入FTP站点创建向导对话框。2.单击“下一步”，在“说明”处输入FTP站点描述。3.单击“下一步”，在“IP地址”处选此FTP站点的IP地址()4.单击“下一步”，输入主目录的路径(E:FTP)5.单击“下一步”，设置用户对此FTP站点的访问权限。6.单击“下一步”按钮后单击“完成”按钮7.右键单击“我的FTP站点”，选择“浏览”看到主目录里德文件，表明FTP站点创建成功。8）打印服务1.首先安装一个网络打印机的驱动，就是打印服务器应用程序，安装过程中会自动搜素网络上的打印机。在这之前你应该设置打印服务器的IP地址与你电脑在同一个网段的。2.安装好打印服务器软件后，需要在主机上添加打印机，打印类型选择 连接到次计算机的本地打印机，不要自动检测。3.出现使用下列端口后，下来选择你的打印服务器的那个Network port.4.安装打印机的驱动，注意这是打印机本身的驱动，不是打印服务器那个驱动，安装好打印驱动后，以后就是下一步的操作了。单击开始，然后单击“打印机和传真机”。 在文件 菜单上，单击服务器属性。 使用下列任意方法（根据需要）都可配置您想要的选项： 配置打印机的端口设置： 单击端口 选项卡。 要配置端口，请在“这台服务器上的端口”框中单击您要配置的端口，然后单击配置端口。在传输重试 框中键入秒数（如果打印机失去响应达到此秒数，您就会得到通知），然后单击确定。 要添加新端口，请单击添加端口，然后在“可用端口类型”框中单击您要添加的端口类型，然后单击新端口。在“输入端口名称”框中键入您要指定给新端口的名称，然后单击确定。 要删除端口，请在“这台服务器上的端口”框中单击您要删除的端口，单击删除端口，然后单击是 ，确认删除。 添加、删除或重新安装当前打印机驱动程序： 单击驱动程序 选项卡。 在“安装的打印机驱动程序”框中单击您要修改的驱动程序，然后单击添加、删除，或重新安装 （根据需要）。 按照屏幕上显示的说明添加、删除或重新安装该打印机驱动程序。 打开或关闭打印机通知： 单击高级 选项卡，然后单击“远程文档打印完成时发出通知”复选框，将其选中或清除。 单击高级 选项卡。单击您要的记录后台打印选项（或多个选项）旁边的复选框，将其选中或清除。 单击确定。9）监控措施采用网络幽狗对公司整个局域网进行监控。它可以仅通过局域网中任意一台主机的安装，达到监控整个局域网的目的。不需要在被监视和被管理电脑上安装任何软件，不需要HUB（集线器），也不需要镜像交换机，可以在任何普通交换机下任何一台安装。后续工作：1） 注册域名注册域名遵循先申请先注册的原则。 1、与注册服务机构签订在线（或书面）域名注册协议。 申请者应当在域名注册协议中保证：遵守有关互联网络的法律和规定；遵守中国互联网络域名管理办法以及主管部门的其他相关规定；遵守中国互联网络信息中心制定的域名注册实施细则、域名争议解决办法等相关规定，以及修订后的版本；提交的域名注册信息真实、准确、完整。 2、填写域名注册申请表。 2）站点上传与发布1、申请网站域名和空间（）2、上传文件（利用Dreamweaver 8自带的上传功能）（1）选择菜单中的【站点】/【管理站点】命令，打开管理站点对话框。（2）在对话框中单击【编辑】按钮，打开【综合网站的站点定义为】对话框，在对话框中选择【高级】选项卡（3）在对话框中选择【远程信息】选项，单击【访问】下拉按钮，在弹出的下拉菜单中选择FTP。3）站点推广（1）注册到搜索引擎（2）传统媒体广告（3）专业论坛宣传（4）直接跟客户宣传（5）不断维护更新网站（6）网络广告（7）公司印刷品（8）发布信息推广四、安全策略1）防火墙策略在实际构建防火墙的工作中一般运用多策略,多部件组合的方法.简单防火墙采用商用带有数据包过滤功能的路由器,进行分组过滤.放置在和企业网络之间的分组过滤路由器.屏蔽主机防火墙是由一台主机和一个屏蔽路由器构成.主机连接企业内部网络,路由器在和内部网络之间,路由器负责数据包的过滤以及对主机某些端口屏蔽.屏蔽子网指在屏蔽主机结构中,主机后端再加入一台路由器,保护子网络安全,这样使子网络安全性进一步提高双宿主主机防火墙是在企业内部网络和间设置一个主机,安装两个网络接口,屏蔽掉协议的直接传输,内部网络不能直接和传输存在问题.由于防火墙只是一种静态的安全技术,需要人工实施与维护,相对入侵时间的随机性发生,不能完全做到阻止入侵者的攻击.主要表现在:不能阻止来自内部网络不法用户的入侵;外部入侵者通过扫描路由器可以找到防火墙背后的入口,绕过防火墙进行入侵;由于防火墙性能的问题不能实时进行入侵检测;不能防止病毒的侵入;不能解决自身的安全问题.防火墙安全性能的提高将降低网络的运行速度.因此单一的防火墙技术只能在相对的时期保证网络的安全,这就要求网络管理部门不断的维护,调整,升级防火墙的安全策略.同时,建立和完善网络的监测检测技术.2）网络监测与检测策略防火墙安全技术是处于被动的保护网络的安全,而实时监测与检测技术是主动保护自身的安全技术机制.从安全技术层面为网络管理部门提供了进一步实施安全管理和维护的手段.既能防范来自外部的非法入侵又能防范来自内部的恶性破坏以及人为的误操作.采用相应保护手段保护网络系统,同时可以分析,跟踪,切断连接,保留证据等,控制网络的用户运行保护网络的安全.检测系统与检测方法检测系统分别是基于主机和基于网络的系统.基于主机的检测系统主要用于监控网络上用户的运行,此种技术已经广泛的用于网络操作系统,其检测方法与运行全部集成在网络操作系统中.实时检测网络中的连接,系统日志检查等,在网络服务器操作系统中为管理员提供了相应安全策略和保护方法.基于网络的系统主要用于实时监测关键路径上的数据流量,代理软件在局域网网络中监测数据流.基于路由器检测系统主要用于保护网络的基础设施,确保计算机网络之间连接安全.主机检测系统主要作用是通过网络系统实时监测每一个用户的使用情况,判断出非法入侵的事件,系统对不同入侵行为采用相应保护措施,由于运行检测系统需要大量的系统资源,因此,服务器主机一定要选硬件性能很好的计算机服务器.基于网络的检测由于只能在网络内进行监视,因此,在局域网网段部署检测系统是很方便的.检测方法主要基于行为和基于知识的入侵.基于行为入侵检测方法是根据网络用户的行为或者资源使用情况来判断是否入侵,即异常检测一般采用概率统计的方法.基于知识的入侵检测方法是根据已知的攻击方法模型建立检测模式,通过判断来发现是否发生入侵,即违规检测.检测功能一个检测系统的基本功能必须能够保证对现有已知的入侵行为进行发现处理,同时要为系统管理人员提供简捷的配置方法,完善的操作功能.能够做到:监视系统及用户的运行状态,检查用户权限;检查系统漏洞,提示系统管理人员;分析,统计用户的行为规律;系统文件与数据的一致性校验;对检测到